Security

Windows LegacyHive Zero-Day Dirilis, Berpotensi Beri Akses Admin ke Penyerang

Eksploitasi zero-day baru untuk Windows kembali muncul ke publik. Celah yang diberi nama “LegacyHive” ini memungkinkan penyerang meningkatkan hak akses pada sistem Windows yang sudah menjalankan pembaruan terbaru, termasuk setelah rilis Patch Tuesday Juli 2026.

Eksploitasi tersebut dipublikasikan oleh peneliti keamanan yang menggunakan nama “Nightmare Eclipse”. Celah ini disebut memanfaatkan kelemahan pada Windows User Profile Service, namun hingga saat ini belum memiliki identitas CVE resmi untuk memudahkan pelacakan publik.

LegacyHive menjadi perhatian karena berhubungan dengan mekanisme registry hive Windows. Dalam skenario eksploitasi yang berhasil, pengguna non-admin dapat memodifikasi registry hive milik akun lain dan menyiapkan eksekusi kode otomatis saat akun administrator masuk ke sistem yang telah dikompromikan.

Eksploitasi LegacyHive Dibuat Lebih Sulit untuk Disalahgunakan

Berbeda dari sejumlah eksploitasi zero-day Windows yang sebelumnya dirilis oleh peneliti yang sama, Proof-of-Concept (PoC) LegacyHive disebut telah dibatasi agar tidak mudah langsung digunakan dalam serangan dunia nyata.

PoC publiknya membutuhkan kredensial pengguna standar lain serta satu nama pengguna tambahan, yang dapat berupa akun administrator. Jika berhasil, eksploitasi akan memasang target user hive ke area Current User Classes Root milik pengguna saat ini.

Peneliti tersebut menyatakan bahwa versi publik dari PoC telah dipangkas untuk mengurangi potensi eksploitasi massal. Versi awalnya disebut tidak memerlukan kredensial tambahan dan tidak terbatas hanya pada hive usrclass.dat.

Meski demikian, pembatasan tersebut tidak sepenuhnya menghilangkan risiko. Analis keamanan menilai pelaku ancaman yang memiliki kemampuan teknis cukup tetap dapat memahami cara kerja celah ini dan mengembangkannya menjadi serangan yang lebih praktis.

Dampak Serangan pada Sistem Windows

Secara teknis, LegacyHive membuka peluang bagi pengguna dengan hak akses rendah untuk memanipulasi konfigurasi registry yang terkait dengan akun lain. Salah satu contoh sederhana yang didemonstrasikan adalah mengubah asosiasi file .txt agar membuka aplikasi lain.

Namun dalam skenario serangan yang lebih serius, teknik serupa dapat digunakan untuk menjalankan payload berbahaya ketika akun administrator login. Ini membuat LegacyHive berbahaya di lingkungan perusahaan, terutama pada perangkat bersama, endpoint yang jarang diawasi, atau sistem dengan banyak akun lokal.

Celah ini termasuk dalam kategori Local Privilege Escalation (LPE). Artinya, penyerang umumnya perlu memiliki akses lokal terlebih dahulu ke perangkat target. Namun jika digabungkan dengan malware, phishing, atau akses awal lain, celah semacam ini dapat menjadi tahap penting untuk mengambil alih sistem secara lebih dalam.

Belum Ada Patch Resmi dari Microsoft

Hingga artikel ini ditulis, LegacyHive belum memiliki patch resmi dari Microsoft. Celah ini juga belum terdaftar dengan CVE, sehingga tim keamanan perlu memantau indikator teknis dan deteksi berbasis perilaku sambil menunggu respons resmi.

Pakar keamanan Kevin Beaumont telah merilis query deteksi untuk Microsoft Defender for Endpoint (MDE), yang dapat membantu tim enterprise mengidentifikasi aktivitas eksploitasi LegacyHive di lingkungan mereka.

Kemunculan LegacyHive menambah panjang rangkaian zero-day Windows yang dipublikasikan oleh Nightmare Eclipse dalam beberapa bulan terakhir. Sebelumnya, peneliti tersebut juga merilis eksploitasi untuk berbagai komponen Windows dan Microsoft Defender, termasuk RoguePlanet, BlueHammer, RedSun, YellowKey, GreenPlasma, MiniPlasma, dan UnDefend.

Sebagian celah dari rangkaian tersebut telah diperbaiki Microsoft melalui Patch Tuesday Juni dan Juli 2026. Namun LegacyHive menunjukkan bahwa risiko dari eksploitasi yang dipublikasikan terbuka masih menjadi tantangan serius bagi administrator Windows.

Rekomendasi Mitigasi untuk Administrator

Sambil menunggu patch resmi, organisasi disarankan memperketat kontrol akses lokal dan menerapkan prinsip least privilege. Akun standar sebaiknya tidak diberi hak administratif kecuali benar-benar diperlukan.

Tim IT juga perlu memantau perubahan mencurigakan pada registry hive, aktivitas mounting hive yang tidak lazim, serta perilaku eksekusi otomatis yang terkait dengan akun administrator. Endpoint Detection and Response (EDR) dapat dikonfigurasi untuk mendeteksi pola anomali pada Windows User Profile Service dan registry classes hive.

Selain itu, organisasi perlu membatasi akses pengguna ke sistem bersama, memantau penggunaan kredensial lokal, dan memastikan aktivitas login administrator hanya dilakukan pada perangkat yang terpercaya. Dalam konteks serangan modern, celah LPE seperti LegacyHive sering menjadi pengungkit setelah penyerang memperoleh foothold awal.

Sumber: New Windows LegacyHive zero-day gives hackers admin privileges

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button